- Головна
- /
- Стаття
Вимоги щодо безпеки Webex Calling
Ця стаття призначена для адміністраторів мережі, зокрема адміністраторів брандмауера й проксі-безпеки, які хочуть використовувати Webex Calling у своїй організації.
Довідкову інформацію щодо портів для брандмауера й вимоги щодо доступу див. в статті Довідкова інформація щодо портів для Cisco Webex Calling.
Вимоги щодо термінальних пристроїв
Edge Webex Calling
Щоб здійснити реєстрацію SIP або виклик, виконайте вказані далі кроки.
-
Знайдіть адресу хоста SIP-терміналу для активних хостів Edge.
-
Виконайте всі попередні умови, пов’язані з конфігурацією користувача й пристрою.
-
Щоб розпочати виявлення служби, переконайтеся, що термінальний пристрій з’єднано із загальнодоступною мережею.
-
Виконайте попередні умови початкового завантаження термінального пристрою з конфігурацією підготовки відповідно до регіону або центру обробки даних. За допомогою цієї конфігурації можна отримати відповідний суфікс імені домену для виявлення служб.
Порівняння IPv4 й IPv6
Пристрої можуть працювати в одинарному режимі або в режимі подвійного стека. Його конфігурація визначає зміни в бажаному протоколі, і ці зміни не є частиною процесу виявлення служби.
-
Режим одинарного стека: дозволяє використовувати тільки один протокол IP (наприклад, IPv4) і ігнорує інші адреси протоколів.
-
Режим подвійного стека: вибирає бажану версію IP через конфігурацію.
Клієнт розцінює пріоритет усіх бажаних адрес як нижчий (тобто бажаний), ніж для всіх адрес IP. Якщо бажаним є протокол IPv4, перш ніж здійснити спробу щодо адреси IPv6, здійснюються спроби щодо всіх адрес IPv4. Якщо жодна спроба щодо всіх адрес не виявиться вдалою, цикл почнеться знову з адреси бажаного протоколу з найменшим пріоритетом.
Мобільний клієнт, який реєструють після отримання push-сповіщення, може оптимізувати режим з огляду на попередні реєстрації.
Визначення адреси хоста за адресою DNS SRV
У файлі конфігурації термінального пристрою, отриманому під час підготовки, індикатор домену вказує на ім’я домену для виявлення межової служби доступу. Прикладом імені домену є:
wxc.edge.bcld.webex.com
З огляду на приклад термінальний пристрій, який виконує пошук DNS SRV для цього домену, може надати відповідь, подібну до такої:
# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com _sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com. _sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.
У такому разі запис SRV вказує на 3 записи А.
sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com
У цьому прикладі оголошуються всі хости для зв’язку з портом 5061 із різними зваженими критеріями й пріоритетом.
Зважайте на ці вимоги щодо термінальних пристроїв.
-
Кінцевий пристрій повинен використовувати
_sips._tcp
(комбінація служби та протоколу) як префікс для пошуку DNS SRV для отримання адреси хоста для ініціювання зв’язку на основі TLS. -
Термінальний пристрій має виконати пошук DNS SRV для умов, викладених у розділі Визначення адреси хоста за адресою DNS SRV.
-
Термінальний пристрій має враховувати хост, порт, зважений критерій і пріоритет згідно з оголошенням для кожної адреси хоста. Крім того, він повинен створювати подібність хоста до порту, створюючи підключення сокета під час реєстрації SIP.
-
Специфічні для використання запису DNS SRV критерії вибору хостів на основі пріоритету й зваженого критерію наведено в RFC 2782.
Вимоги щодо SIP і мультимедіа
Вимоги |
Опис |
---|---|
Для шифрування відкритого ключа необхідний сертифікат довіри. |
Інформацію про повноваження підпису сертифікатів Webex і кореневих ЦС, які є обов’язковими на пристроях, див. в статті. |
Підтримувана версія TLS для безпечного SIP |
TLS 1.2 |
Підтримувані шифри TLS для безпечного SIP |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
Підтримувані ключі SRTP для захищених мультимедіа |
AES_CM_128_HMAC_SHA1_80 |
Вимоги щодо безпечного SIP із mTLS (mutual TLS)
Вимоги детально описано тут.
Підписаний сертифікат необхідний для успішної авторизації та автентифікації викликів із транку. Сертифікат має відповідати описаним далі вимогам.
-
Сертифікат повинен бути підписаний центром сертифікації, згаданим у розділі Які кореневі органи сертифікації підтримуються для викликів на аудіо й відео платформи Cisco Webex?
-
Передати пакет довіри, згаданий у розділі Які кореневі органи сертифікації підтримуються для викликів на аудіо й відео платформи Cisco Webex?, до CUBE.
-
Сертифікат має бути дійсним завжди.
-
У підписаних сертифікатів термін дії завжди має бути дійсним.
-
У кореневих або проміжних сертифікатів термін дії має бути дійсним, і їх не має бути відкликано.
-
Щоб сертифікати могли використовувати клієнти й сервери, їх має бути підписано.
-
У сертифікатах має міститися повне ім’я домену (FQDN) як загальне ім’я або альтернативне ім’я суб’єкта в сертифікаті з FQDN, вибраним у Control Hub. Наприклад:
-
У CN або SAN сертифіката транку, налаштованого з Control Hub вашої організації зі значенням FQDN london.lgw.cisco.com:5061, має міститися значення london.lgw.cisco.com.
-
У CN або SAN сертифіката транку, налаштованого з Control Hub вашої організації зі значенням SRV london.lgw.cisco.com, має міститися значення london.lgw.cisco.com. Записи, які адреса SRV визначає в рядку (CNAME/A Record/ IP Address), є необов’язковими в SAN.
-
-
Можна розділити сертифікати з декількома локальними шлюзами, однак спочатку переконайтеся, що вимоги щодо FQDN задоволено.
-
Інформація, що не ввійшла до статті
Ця стаття не містить указану далі інформацію, пов’язану з безпекою мережі.
-
Вимоги F5 щодо ЦС і шифрів.
-
Відомості про API на основі HTTP для завантаження правил брандмауера для Webex.
-
Відомості про API для пакета довіри.
-
Вимоги щодо брандмауера й вимкнення шлюзу рівня програми (ALG).